top of page

Plugin de wordpress WPGraphQl vulnerável a server side request forgery - CVE-2023-23684

O plugin WPGraphQL foi identificado como estando vulnerável a uma falha de Server-Side Request Forgery na funcionalidade de upload de ficheiros.

Falha

Utilizadores autenticados que fizessem pedidos GraphQL, que executam a função createMediaItem, podiam passar caminhos no argumento filePath, e essa forma tinha acesso ao servidor

Versões afetadas

Abaixo de 1.14.5

Solução

Atualizar para a versão 1.14.6

Advisory do github: https://github.com/wp-graphql/wp-graphql/security/advisories/GHSA-cfh4-7wq9-6pgg

Wordpress plugin update: https://wordpress.org/plugins/wp-graphql/

Sugestão de verificação dos plugins instalados:

wpscan --url <url> --enumerate p

Comentarios

POSTS RECENTES:

Microsoft Patch Tuesday - setembro 2024

Falha de execução de código remota no plugin WPML de Wordpress

Microsoft Patch Tuesday - agosto 2024

Falha de execução de código remota no jenkins

Falha no mongodb permite elevação de privilégios

Microsoft Patch Tuesday - Julho 2024

Falha crítica no openssh permite execução de código remota

Novas falhas endereçadas para o VMware vCenter Server

Routers da Asus vulneráveis a uma falha crítica de upload arbitrário de firmware

Descoberto backdoor crítico em routers da D-Link

PROCURE POR TAGS:

bottom of page